Se ha descubierto una vulnerabilidad de severidad crítica en el complemento LA-Studio Element Kit for Elementor para WordPress. Un actor malicioso podría crear cuentas de administrador sin autenticación y comprometer totalmente el sitio afectado.
Productos afectados
- Complemento LA-Studio Element Kit for Elementor (WordPress) en versiones 1.5.6.3 e inferiores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–0920: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de gestión inadecuada de privilegios en el sistema de registro de usuarios del complemento. Un actor malicioso remoto no autenticado podría enviar una solicitud de registro especialmente diseñada mediante el parámetro lakit_bkrole para permitir la creación de una cuenta con privilegios de administrador logrando la toma de control total del sitio web de WordPress afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias